Logiciel malveillant FPSpy
Des groupes de menaces liés à la Corée du Nord ont été identifiés à l'aide de deux outils récemment développés, connus sous le nom de KLogEXE et FPSpy. Cette activité a été liée à un acteur malveillant appelé Kimsuky, également connu sous des pseudonymes tels que APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anciennement Thallium), Sparkling Pisces, Springtail et Velvet Chollima. Ces nouveaux outils élargissent la boîte à outils déjà considérable de Sparkling Pisces, reflétant l'évolution continue et la sophistication croissante du groupe.
Table des matières
Un acteur de menace sophistiqué opérant depuis plus d’une décennie
Actif depuis au moins 2012, l'acteur malveillant a été surnommé le « roi du spear phishing » pour sa capacité à inciter les victimes à télécharger des logiciels malveillants en envoyant des e-mails qui semblent provenir de parties de confiance. L'analyse des chercheurs de l'infrastructure de Kimsuki a révélé deux nouveaux exécutables portables appelés KLogEXE et FPSpy.
Ces souches de malwares sont connues pour être diffusées principalement via des attaques de spear-phishing. Sur la base des informations disponibles, il semble que les opérateurs malveillants de cette campagne privilégient les attaques d'ingénierie sociale sous la forme d'e-mails de spear-phishing envoyés à leurs cibles.
Ces e-mails soigneusement rédigés contiennent un langage conçu pour inciter les cibles à télécharger un fichier ZIP joint à l'e-mail. Les cibles sont souvent encouragées à extraire des fichiers corrompus, qui, une fois exécutés, déclenchent la chaîne d'infection et finissent par transmettre ces souches de malware.
FPSpy est équipé de nombreuses capacités invasives
On pense que FPSpy est une variante d'une porte dérobée exposée pour la première fois par AhnLab en 2022, présentant des similitudes avec une menace documentée par Cybereason sous le nom de KGH_SPY fin 2020. Au-delà de l'enregistrement des frappes, FPSpy est conçu pour collecter les détails du système, télécharger et déployer des charges utiles supplémentaires, exécuter des commandes arbitraires et analyser les lecteurs, dossiers et fichiers sur le système compromis.
Parallèlement, KLogExe, une autre menace nouvellement identifiée, est une adaptation en C++ d'un keylogger basé sur PowerShell appelé InfoKey, précédemment signalé par JPCERT/CC dans une campagne Kimsuky ciblant des entités japonaises. Cet outil est équipé pour capturer et exfiltrer des données sur les applications actives, les frappes au clavier et les mouvements de la souris sur la machine affectée.
Une campagne d’attaque hautement ciblée
Les experts en cybersécurité ont identifié des similitudes dans le code source de KLogExe et de FPSpy, ce qui indique qu'ils ont probablement été développés par le même auteur. Bien que Kimsuky ait l'habitude de cibler diverses régions et secteurs, cette campagne en particulier semble se concentrer sur des organisations au Japon et en Corée du Sud.
Compte tenu du caractère ciblé et sélectif de ces opérations, les chercheurs ont conclu qu'il était peu probable que la campagne soit généralisée. Elle semble plutôt limitée à des secteurs spécifiques et se limiter principalement au Japon et à la Corée du Sud.
